Аннотация
При опоре на нормативную базу, техническое состояние предприятий ТЭК РФ и ожидаемый экономический эффект цифровой трансформации отрасли – показана актуальность задачи развития информационной безопасности Минэнерго РФ.
На основе выявления проблемных этапов в существующем процессе обеспечения информационной безопасности объектов КИИ ТЭК РФ, предложены изменения организационных и технологических процессов, которые обеспечивают: единые подходы и технологии в границах отрасли, исключают «человеческий фактор», учитывают большинство современных кибератак в условиях «покрытия» цифровыми сетями на импортном ИТ-оборудовании, запускают рыночные механизмы формирования подотрасли информационной безопасности ТЭК РФ.
ПЛАН
1. Актуальность разработки стратегии информационной безопасности предприятий ТЭК РФ.
2. Проблемные этапы в существующем организационном процессе обеспечения информационной безопасности объектов КИИ ТЭК РФ.
3. Предложения по изменению организационного и технологического процессов обеспечения информационной безопасности объектов КИИ ТЭК РФ.
1. Актуальность разработки стратегии информационной безопасности предприятий ТЭК РФ
В соответствие с «Энергетической стратегией РФ на период до 2035 года» от 9 июня 2020 года (http://static.government.ru/media/files ... ZRb7wx.pdf) требуется:
• обеспечить цифровую трансформацию и интеллектуализацию отраслей топливно-энергетического комплекса на основе единых подходов и технологий, в результате которых новое качество приобретут все процессы в сфере энергетики, новые права и возможности получат потребители продукции и услуг отраслей топливно-энергетического комплекса;
• создать условия для разработки и развития цифровых сервисов и решений в единой информационной среде, обеспечить цифровизацию государственного управления и контрольно-надзорной деятельности в отраслях топливно-энергетического комплекса;
• увеличить долю организаций (и компаний) топливно-энергетического комплекса, полностью отвечающих требованиям безопасности (включая информационную безопасность).
По мнению Минэнерго РФ (Зам. Министра Павел Сорокин, ноябрь 2020 года) цифровизация нефтяной отрасли может снизить траты на разведку и добычу на 10-15 процентов, сократить на 40 процентов сроки ввода объектов, а также обеспечит пополнение бюджета РФ на 700 миллиардов рублей в год.
Расчеты, проведенные компанией Vygon Consulting, показывают, что в России к 2030 году цифровые технологии, путем повышения качества геологоразведки и сокращения времени внедрения технологических процессов увеличения нефтеотдачи и разработки трудноизвлекаемых запасов, способны добавить, к текущему уровню добычи, около 155 млн тонн нефти, - то есть компенсировать объем «выпавшей добычи» на истощенных многолетней эксплуатацией месторождениях РФ.
Таким образом, в условиях безальтернативной экономической целесообразности (проекты освоения нефти-газа в Арктике не учитываются), отсутствие в современной России отечественной ИТ-индустрии, вынуждает выполнять процесс цифровой трансформации (ЦТ) ТЭК РФ, как и прежде, на импортном ИТ-оборудовании и ПП. То есть, возвращаясь к теме информационной безопасности (ИБ) объектов ТЭК РФ, при ЦТ на импортном ИТ-оборудовании - продолжают «нарастать» риски утери национальной информационной безопасности (нередко объекты ТЭК РФ имеют 1-3 категории объектов КИИ РФ).
В обозначенных условиях в 2021 году в компаниях ТЭК РФ готовится пятилетняя стратегия развития информационной безопасности отрасли.
2. Проблемные этапы в существующем организационном процессе обеспечения информационной безопасности объектов КИИ ТЭК РФ.
Типовой состав работ по обеспечению информационной безопасности объекта КИИ РФ в зоне покрытия беспроводных цифровых сетей на импортном оборудовании, как правило, включает /1/: а) разработку моделей информационной сферы объектов КИИ РФ с использованием импортного ИТ-оборудования и ПП в которых «не исключается» присутствие «закладок»; б) определение видов уязвимостей и их приоритетов; г) разработку моделей и сценариев нарушения информационной сферы объекта КИИ РФ; д) определение каналов и способов нарушения информационной сферы «различных объектов»; е) «нормирование» потенциальных каналов нарушения информационной сферы и разработку нормативно-методических документов, методик тестирования и измерительных схем для проведения спец. исследований; ж) разработку методологической документации для определения необходимого и достаточного комплекса адекватных организационно-технических мероприятий по ПД ТР, включая заводские и объектовые испытания, и периодические регламентные работы; к) подготовку организационных предложений (ТЗ на НИОКР) для кооперации спец. институтов, задействованных в гос. системе обеспечения информационной безопасности; л) подготовку предложений отраслевым и федеральным Институтам и страховым компаниям по страхованию «информационных рисков» для создания в РФ законодательной и экономической «среды», инициирующей работы по обеспечению национальной информационной безопасности.
Из практики выполнения подобных работ в ТЭК РФ (см. https://vipforum.ru/conferences/transib_baltika_2018/, https://www.transneft.ru/u/journal_file ... _72dpi.pdf), можно увидеть, что отдельные компании, на основе своего корпоративного опыта и компромисса между техническими (финансовыми) издержками и снижением рисков утери ИБ, принимают «оригинальные» решения.
Подобная организация работ может включать «человеческий фактор», который порождает: а) рассмотрение, в ряде случаев, только отдельных «источников-каналов-сценариев-моделей атак; б) «оригинальное» категорирование объектов КИИ и соответствующий состав организационно – технических мероприятий, которые «не всегда» имеют объективный доказательный фундамент.
Нельзя исключать, что описанное отсутствие доказательного фундамента инициируется, в том числе, следствием «неоднозначной» редакции отдельных пунктов ФЗ-187 от 26.07.2017. и «рекомендательным характером» документов ФСТЭК (например Документ от февраля 2020 года, https://fstec.ru/component/attachments/download/2727 ).
При этом, ответственность собственника (ответственного лица), включая уголовную, за обеспечение ИБ объекта КИИ, наступает после внесения Документов по ИБ в Государственный Реестр.
Следствием такого «положения» может являться внесение в процедуру обеспечения личной ответственности за ИБ объекта КИИ – «человеческого фактора». Так, например, если проведено категорирование объекта КИИ ТЭК с использованием «человеческого фактора» и, соответственно, учтен «не полный состав кибератак силами и средствами ТР» вероятного противника, и выполнен «заниженный» объем работ по обеспечению ИБ объекта КИИ, то ответственное лицо отвечает только за выполнение «заниженного» объема работ, который обозначен в Документах, представленных в Гос. Реестр.
3. Предложения по изменению организационного и технологического процессов обеспечения информационной безопасности объектов КИИ ТЭК РФ.
Экстраполяция вышеописанной сегодняшней процедуры выполнения работ по ИБ в ТЭК РФ, на период выполнения проектов цифровизации ТЭК РФ до 2035 года на импортном ИТ-оборудовании, показывает, что:
• работы по обеспечению ИБ на объектах КИИ компаний ТЭК «нередко» не соответствуют Энергетической стратегии РФ до 2035 года от 9 июня 2020 года, в части обеспечения единых подходов и технологий в границах Минэнерго РФ;
• организация и состав работ по обеспечению ИБ на объектах КИИ компаний ТЭК «нередко» не имеет объективной доказательной базы и, соответственно, затрудняет включение стоимости работ по ИБ в себестоимость продукции предприятий ТЭК РФ и внедрение механизмов страхования рисков /2/;
• риски утери ИБ объектов КИИ ТЭК РФ, «в условиях» российского пространства GSM, построенного на импортном ИТ-оборудовании и ПП, в зоне покрытия которого находится большинство объектов, - сохраняются и возрастают.
Чтобы, в условиях непрерывного появления новых моделей кибератак, привести работы по ИБ в ТЭК РФ в соответствие с нормативной базой Минэнерго РФ, контролируемо и последовательно уменьшать риски утери ИБ на объектах КИИ ТЭК РФ, создать «рыночный фундамент» работам по повышению ИБ на объектах КИИ ТЭК РФ - предлагается обратиться к опыту СССР, и вспомнить, что главным итогом 18 летней работы Гостехкомиссии СССР стало формирование государственной культуры информационной безопасности /1/. Именно эта культура позволила: а) создать эффективный «государственный высокотехнологичный механизм», позволявший координировано, на системной основе, объединять производственную деятельность по информационной безопасности на государственном, многоотраслевом и уровне предприятий и объектов КИИ; б) своевременно и адекватно внешним вызовам, решать вопросы законодательного, регуляторного, технологического и метрологического обеспечения работ по ИБ.
Опираясь на такой опыт, в части организации работ по повышению ИБ на объектах КИИ /1/, можно «эскизно» предложить следующие взаимосвязанные последовательные ступени-операции:
1. Указать «источники-технические средства-каналы-сценарии-цели» кибератак на объекты КИИ РФ (АСУ на импортном оборудовании) различных категорий, в условиях GSM – покрытия на импортном ИТ-оборудовании (и без).
2. Указать виды аппаратных и программных закладок в импортном ИТ оборудовании (АСУ) на объектах КИИ ТЭК РФ, и каналы и методы их активации в условиях GSM-покрытия на импортном ИТ-оборудовании.
3. Определить демаскирующие признаки команд активации аппаратных и программных закладок», разработать алгоритмы поиска таких команд во всех цифровых сетях РФ: сети GSM, IP- сети, сети цифрового радио и телевещания и т.д.
4. Разработать ПП и оборудование для спец. фильтрации абонентского и группового сигналов цифровых сетей, с целью блокирования прохождения команд активации закладок.
5. Разработать методики расчета «ущерба реализации» разных типов кибератак и выполнить их ранжирование.
6. Определить вероятность применения разных типов кибератак ТР и кибервойсками вероятного противника в условиях: боевые действия-угрожаемый период-холодная война.
7. Определить «значимые атаки» для объектов КИИ ТЭК РФ, имеющих разные категории.
8. Выполнить систематизацию вышеприведенной информации и разработать (ТЗ на НИОКР): а) алгоритмы и технические средства тестирования импортных ИТ-систем на заводе-полигоне-сдаточных и регламентных ежегодных испытаниях на объектах ТЭК РФ (например, с участием разработчиков); б) технические средства поиска и блокирования команд «активации» закладок, передаваемых по национальным российским GSM-, IP- и другим цифровым сетям; в) технические средства для реализации активных методов блокирования прохождения «команд активации закладок», включая линейное и пространственное зашумление в диапазоне от инфра низкого (акустического) до оптического ;
9. Разработать методику определения состава и стоимости работ по ПД ТР на всех этапах жизненного цикла внедрения ИТ- системы на объектах КИИ РФ.
10. Разработать методы и технические средства верификации импортных ИТ-систем (АСУТП)на этапах заводских и объектовых испытаний (с участием разработчиков).
11. Разработать регламент организационно-технических мероприятий по обеспечению ИБ объекта КИИ в различные периоды жизнедеятельности (боевые действия-угрожаемый период-холодная война).
12. Определить «значимые атаки» для объектов КИИ ТЭК РФ, имеющих разные категории и разработать методики расчета «ущерба при реализации атак».
13. Организовать центр кибербезопасности для «выявления-анализа-систематизации-прогнозирования-блокирования» инцидентов и уязвимостей информационной сферы объектов КИИ ТЭК РФ, включая АСУ с потенциальными «закладками», в условиях GSM-покрытия на импортном оборудовании.
14. Сформировать рыночную среду для активизации выполнения работ по повышению ИБ объектов КИИ ТЭК РФ: а) ввести «ущерб от реализации атаки» и стоимость всех работ по повышению ИБ объекта КИИ ТЭК - в себестоимость продукции компании ТЭК РФ (чем выше стоимость работ по ИБ, тем реже «реализация атак» и меньше величина «ущерба» – целесообразна оптимизация для конкретных объектов);
15. Организовать (законодательная и нормативная база) процесс «создания рыночных механизмов обеспечения ИБ объектов КИИ компаний ТЭК РФ» - привлечение государственных страховых компаний (Ингосстрах, Росгосстрах и т.п.).
16. Организовать (законодательная и нормативная база и гос. заказ) устойчивый бизнес-процесс в «блоке» профильных отраслевых и коммерческих ИТ-компаний РФ для выполнения взаимоувязанного комплекса вышеприведенных работ, под гарантированные, на уровне Правительства РФ, объемы закупок продукции этих компаний в перспективе 5-10 лет.
Примечание:
1. Материал подготовлен на основе информации из СМИ и требует уточнения по отраслевым Документам Минэнерго РФ.
2. В рамках настоящей статьи не рассматриваются технические решения и ПП по спец. фильтрации цифровых сигналов в магистральных и абонентских трактах цифровых сетей, для обнаружения и блокирования «сторонних сигналов». Подобные вопросы, применительно к беспроводным сетям IoT и IIoT (сети G-5) были, в частности, рассмотрены Лабораторией Касперского в сентябре 2020 года в Сочи , https://ics.kaspersky.ru/media/ics-Dmit ... persky.pdf (Применение решений на базе KasperskyOS в промышленности).
Представленный материал является авторским, подготовлен при консультациях с профессионалами связи, маркетологом MBA (MS, LK, IDC, P.T., ITG-Fors), ссылка обязательна.
С уважением,
Alex Rail,
30.01.2021
Литература:
1. viewtopic.php?f=2&t=19079&p=219640#p219640
2. viewtopic.php?f=2&t=19153&p=220028#p220028